In der Schweiz musste die bisher einzige Plattform für digitale Impfnachweise wegen massiver Sicherheitsmängel beim Datenschutz schließen. Das BAG hatte die von einer Stiftung getragene Plattform Meineimpfungen.ch eigentlich damit beauftragt, die Infrastruktur für ein digitales Impfzertifikat zu stellen. Die Plattform sollte als die Datenbank dienen, auf der die Patienten- und Impfdaten gespeichert sind und dann mit der App MyViavac mobil genutzt werden können. Doch das ging gehörig schief.

Denn Ende März hatten IT-Sicherheitsexperten des Vereins Mezdanak die Plattform geprüft und waren zu einem vernichtenden Urteil gekommen. Die Sicherheitsmängel seien zahlreich und zum Teil schwerwiegend. „In Summe ermöglichen sie auch ungeübten Angreifern auf verschiedenen Wegen vollumfänglichen Zugriff auf die Daten von Patienten sowie Fachpersonen“, heißt es im Testbericht. „Weder die Vertraulichkeit noch die Integrität oder Verfügbarkeit der hinterlegten Gesundheitsdaten ist gewährleistet.“

So könnten Unberechtigte unter Ausnutzung von Sicherheitsmängeln im Registrierungsprozess einen neuen Fachpersonen-Account ohne Legitimationsprüfung anlegen. Auch die Legitimationsprüfung selbst könne aufgrund gravierender konzeptioneller Schwächen einfach überwunden werden und Angreifer in Besitz eines zuvor erlangten Fachpersonen-Accounts aufgrund des fehlenden Berechtigungskonzepts auf persönliche Informationen sowie die Covid-19-Impfnachweise aller registrierten Patienten zugreifen.

Dem Schweizer „Blick“ zufolge waren bereits 450.000 Impfdatensätze auf der Plattform gespeichert, 240.000 davon zu Corona-Impfungen. Außerdem könnten Unberechtigte mithilfe sogenannter Cross-Site-Request-Forgery- und Cross-Site-Scripting-Angriffe gezielt sowohl Fachpersonen- als auch Patienten-Accounts übernehmen und darüber weitere Gesundheitsdaten abrufen, darunter Angaben zu chronischen Erkrankungen, HIV-Infektionen und Krebsleiden. Die Datenschutzexperten leiteten ihre Ergebnisse an das BAG und den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) weiter, der wiederum ein formelles Verfahren gegen die Plattform einleitete. Die hinter ihr stehende Stiftung nahm die Plattform und die zugehörige App vom Netz, wollte die Fehler beheben und im Mai wieder online gehen.

Ende vergangener Woche gab sie nun bekannt: „Eine neue umfassende Bewertung hat ergeben, dass der sichere Betrieb der Plattform nicht mehr möglich ist.“ Eine externe Überprüfung habe ergeben, dass die aktuelle Plattform nicht ausreichend gegen aktuelle Sicherheitsbedrohungen geschützt ist. Sie hat keine Zukunft. Die Daten seien nun isoliert und gespeichert worden, das Kuratorium der Stiftung suche nun nach einem geeigneten Weg, sie den Nutzern zukommen zu lassen.

Der Schweizer Bundesrat muss nun nach einer neuen Lösung suchen, um zügig ein digitales Impfzertifikat in der Eidgenossenschaft zu ermöglichen. Doch die Kritik am bisherigen Scheitern trifft nicht nur die Regierung und den Staat, sondern auch die Leistungserbringerorganisationen, die ebenfalls auf die Plattform, gesetzt haben. „Für dieses Debakel tragen auch das BAG, die FMH [Ärzteverband, Anm. d. Red] und Pharmasuisse eine große Verantwortung. Sie haben Meineimpfungen.ch über Jahre unterstützt – auch mit großzügiger Finanzierung – und sie haben das Projekt durch ihre Vertretungen im Stiftungsrat mitgetragen“, erklärt Sara Stalder, Geschäftsleiterin der Konsumentenschutzstiftung. Zudem hätten sie den Patient:innen und Konsumenten den Dienst als praktisch und sicher angepriesen. „Wir fordern, dass sie jetzt über das oberste Leitungsorgan ihre Verantwortung wahrnehmen und sicherstellen, dass Betroffene umgehend und kostenlos eine Kopie ihrer Impf- und Gesundheitsdaten erhalten.“

Doch selbst nach dem Aus der Plattform enden die Probleme mit ihr nicht. Nach Bekanntwerden der Sicherheitsmängel verlangten tausende Schweizer:innen, dass ihre Daten aus dem Register gelöscht werden. Doch so einfach ist es nicht, denn bisher verlangte die Stiftung für die Löschung der Daten die Einreichung einer beglaubigten Ausweiskopie. Schon aus Sicht der vorzunehmenden Prüfung wäre das bei zehntausenden Anträgen nicht umsetzbar, zusätzlich wurde jedoch Kritik daran laut, dass die Ausstellung einer beglaubigten Ausweiskopie bis zu 25 Franken (rund 23 Euro) kostet – die die Nutzer zahlen müssten, obwohl sie keine Schuld trifft.

Die Stiftung wolle nun nach alternativen Wegen und Finanzierungsmöglichkeiten suchen, eine Löschung zu beantragen. Bis dahin muss sie die Nutzer aber erst einmal vertrösten: Da die Plattform seit Ende offline ist, hätten die Support-Mitarbeiter in den letzten Wochen gar keinen Zugriff auf die Daten. „Die Bearbeitung von Auskunfts- und Löschungsanträgen wird daher einige Zeit in Anspruch nehmen. Wir haben die betroffenen Benutzer informiert, dass die Bearbeitung ihrer Anfragen länger als 30 Tage dauern wird.“